インターネットを守るための技術、法律、そして世界――標準化団体JPAAWGに聞いた：セキュリティ・アディッショナルタイム（36）（1/2 ページ）

日本におけるセキュリティ技術の標準化団体「JPAAWG」が2019年5月に正式に発足。その活動の狙いと今のインターネットの課題を、会長を務める櫻庭秀次氏と事務局の末政延浩氏に尋ねた。

[高橋睦美，＠IT]

　インターネットのセキュリティ向上に向けて、できる手だてはいろいろあるだろう。その中でも、メール、メッセージングをはじめ、DDoS対策やDNSに至るまで、幅広いレイヤーを対象に、技術の標準化や啓蒙（けいもう）、エンジニア同士の交流といった活動を展開しているのが「M3AAWG（Messaging, Malware and Mobile Anti-Abuse Working Group）」だ。

　このM3AAWGと連携し、日本国内のインターネットセキュリティにフォーカスして活動している団体が「JPAAWG（Japan Anti-Abuse Working Group）」。国内のインターネットサービスプロバイダー（ISP）や通信事業者、クラウド事業者らが参加して、2019年5月に正式に発足し、2019年11月14日、15日に「2nd General Meeting」を開催する予定だ。

　その活動の狙いと今のインターネットの課題を、JPAAWG会長を務める櫻庭秀次氏（インターネットイニシアティブ）と事務局の末政延浩氏（TwoFive）に尋ねた。

事後の情報共有だけではなく、不正を未然に防ぐ手だてを

JPAAWG会長の櫻庭秀次氏

櫻庭氏　JPAAWGの母体は米国のM3AAWGという組織で、2019年で開設15年目を迎えます。立ち上げ当時は主にメールセキュリティを対象に、スパムメール対策などを検討し、「SPF（Sender Policy Framework）」をはじめとする標準化技術の策定を後押ししてきましたが、今はもっとフォーカスを広げています。

　理由は、メールというものは攻撃者が組織の中に入れる唯一の手段だからです。今どき、どんな組織も企業もファイアウォールを導入し、外から直接は攻撃できないようにして従業員を守っています。ただメールだけは、情報を届ける入口として残さざるを得ない性格のものです。それ故にメールはマルウェア感染や情報漏えいの入口に使われてしまいます。これは十何年たっても変わっていません。

　さまざまな脅威に対処するにはメールだけにフォーカスするのではなく、多層的なセキュリティ対策が必要です。ただ、過去にメールを対象にやってきた議論や技術は、DDoS対策やDNS、IoTを含めたセキュリティ全般に対しても応用が利きます。ですので、この数年M3AAWGでは議論の範囲を広げ、広くセキュリティ全般を対象にしています。

末政氏　インターネットやネットワークといったものは通信があってこその存在です。ですからDDoS対策のように、送り手と受け手のコミュニケーションが成立しないと解決できない問題もあると思います。そういった問題を業界全体として議論しながら対応していこう、というのがM3AAWGの中心的な考えにありますし、JPAAWGもそれを踏襲していきます。

櫻庭氏　「フィッシング対策協議会（APWG）」をはじめ、他にもさまざまな業界団体がありますが、多くはインシデントが起きてから、情報共有などの枠組みで対処していくものです。もちろんそれも大事ですが、M3AAWGやJPAAWGのアクティビティーは、基本的に「プリベント」（予防）を念頭に置いています。送信ドメイン認証技術がその際たるものだと思いますが、「あらかじめ役立つ技術を導入しておき、なるべくインシデントが起こらないようにしていく」形が特色の一つで、既に悪い状態にあるのだから、それを改善していくアクティビティーを、技術中心に議論し、実装を広げていければと思います。もちろん必要があれば、法律的な議論、日本であれば通信の秘密に関する話も行い、さまざまな側面からインシデントが起こる前の対策を考えていきます。

エンジニア同士のつながりを北米／ヨーロッパ以外にも拡大

櫻庭氏　JPAAWGは日本でメンバーを募って2018年10月に創設され、2019年5月に会則などを定め、組織として立ち上がりました。今は、メーリングリストやSlackなどの情報交換の枠組みを作った他、11月の2nd General Meetingに向けた調整を進めています。

　M3AAWGは経営層ではなく、エンジニアが集まる場です。何かあったときにすぐコンタクトが取れる、そんなエンジニア間のコミュニケーションを醸成する場として活動してきました。JPAAWGはそんなエンジニアのパスのリーチを北米やヨーロッパ以外にも広げたいというかねての要望に応えた形です。

　M3AAWGは主に北米とヨーロッパの会社から成り立っています。けれど、つながっている世界の中で北米とヨーロッパだけで活動していても、守ることなどどだい無理です。インターネットはつながっていますから、南米やアジア、アフリカといった他のリージョンにも活動を広げ、対策を周知し、連携して防御していかなければいけません。JPAAWGはそういった背景もあって立ち上がりました。

　アジア地域は急成長を遂げていますが、まだまだM3AAWGへの参加は多くありません。そこでJPAAWGを足掛かりに、アジアにもリーチを広げようという狙いもあります。ラテンアメリカの国でも、ブラジルのCERT.brなどが中心となってLAC-AAWGを設立しています。

末政氏　もう一つ、一方向ではなく双方向というか、互いに情報共有するところが特徴だと思います。

櫻庭氏　2019年3月に韓国で開催されたAPRICOTカンファレンスでも、M3AAWGチェアマンのセベリン・ウォーカーさんと私とで、M3AAWGの活動を紹介するセッションを行いましたが、こういった場や既存の組織とうまく連携して、興味ある人に広げていきたいと思っています。逆にわれわれも、アジア各国の課題を理解し切れていないところもあります。タイでは有線よりもモバイルネットワークの方が進化していたり、インドネシアだとSNSが全盛だったり……そういった国ごとの違い、インフラの違いを理解した上で、同じく使える技術や対策があれば紹介し、議論していきたいです。